我们正考虑在将某些代码发布给客户之前对其进行混淆。我们想知道它对技术支持的影响。客户可以为我们提供有意义的堆栈跟踪,还是会对它们进行模糊处理?
我期待听到您的经历。提前谢谢。
答案 0 :(得分:9)
您将获得混淆的堆栈跟踪。但混淆器可以生成将模糊名称映射到实名的映射文件。您必须将这些映射文件保存在安全的地方,并且可以在需要时使用它们再次“反混淆”堆栈跟踪。
在技术支持的情况下 - 您可以创建一个简单的Web界面,技术支持人员可以粘贴堆栈跟踪。这样只有Web服务器才需要访问映射文件,以便它可以恢复原始堆栈跟踪。
这里有两个链接,用dotfuscator混淆器解释这个过程:
http://www.preemptive.com/images/stories/dotfuscator_documentation/Dotfuscator/The_Map_File.html
答案 1 :(得分:1)
如果在您的发行版中对堆栈上的方法进行了模糊处理,您将在任何堆栈跟踪中获得模糊的方法名称。
如果您在代码中添加任何内容以帮助您弄清楚涉及哪些方法,潜在的黑客可以使用该信息来更好地理解您的代码。
一种常见的策略是仅对某些代码进行模糊处理,包括(但不限于)执行许可检查的部分。如果您对许可证检查进行模糊处理,则很容易将其置于需要黑客注意的部分。
答案 2 :(得分:1)
这通常不是问题,因为大多数混淆器都能够将堆栈跟踪去混淆回原始跟踪。
答案 3 :(得分:1)
我们使用BitHelmet。问题是,当使用最强混淆技术时,堆栈跟踪不能被反混淆。 BitHelmet使用完全签名重命名(某种过载感应,只有更好)。会发生什么,许多方法最终都使用相同的名称但返回类型不同(这不能在C#中完成,但对CLR来说是可以的)。堆栈跟踪中不显示返回类型!所以实际上不可能使用最强混淆来对堆栈跟踪进行反混淆。
我们问了与你相同的问题,我们进行了讨论,并得出结论,实际上我们更喜欢更好的混淆。在提供技术支持时,堆栈跟踪实际上并不那么有用,因为只有最终用户才能提供其他数据。 “请告诉我你到底在做什么?” :)